AES_2 2023

FOCUS Approfondimenti 43 INDAGINE Automazione e Strumentazione n Marzo 2023 Un capitolo importante è la protezione delle infra- strutture basate su cloud. Gli strumenti di monitorag- gio del cloud possono essere collocati tra le soluzioni DBaaS (Database-as-a-service) di un cloud provider per monitorare i dati in transito o reindirizzare il traf- fico verso piattaforme di sicurezza. Altro tema sensi- bile è quello della sicurezza del BYOD (Bring Your Own Device) che consiste nel richiedere ai dipen- denti che utilizzano dispositivi personali di instal- lare un software di sicurezza per accedere alle reti aziendali. Un’altra strategia di protezione dei dati e del know-how aziendale consiste nel creare una men- talità orientata alla sicurezza, adottando ad esempio password forti, autenticazione a più fattori, aggiorna- menti regolari del software, backup dei dispositivi e crittografia dei dati (cfr. Tabella 1). Standard, framework, regolamenti Per proteggere i dati aziendali sono disponibili diversi framework di sicurezza informatica e stan- dard di cybersecurity (cfr. Tabella 2). Gli standard elencano le fasi e le buone pratiche utili e importanti da seguire. I regolamenti, invece, hanno un impatto legale vincolante. I framework forniscono un punto di partenza per stabilire processi, politiche e attività amministrative per la gestione della sicurezza delle informazioni. Questi requisiti di sicurezza spesso si sovrappongono. Per esempio, lo standard ISO 27002 (con la relativa certificazione ISO 27000) definisce la politica di sicurezza delle informazioni che ritro- viamo anche nei framework specifici sviluppati da COBIT (Control Objectives for Information and Related Technology), NIST (National Institute of Standards and Technology) e altre organizzazioni. In ambito industriale merita una menzione spe- ciale lo standard IEC 62443. Si tratta di una norma che individua le principali contromisure contro gli attacchi informatici a partire dall’analisi dell’infra- struttura di automazione. Questo tipo di analisi aiuta le aziende a comprendere la reale portata del pro- blema e consente loro di dare priorità alle modifiche dell’infrastruttura in base alla gravità delle conse- guenze prevedibili. Questo standard copre di fatto tutte le fasi del ciclo di vita della Cyber Security previsto dai cosiddetti IACS (Industrial Automation Control Systems), che comprende la fase di assess- ment per indagare eventuali vulnerabilità, nonché l’implementazione e il conseguente mantenimento delle prestazioni di sicurezza contro le minacce informatiche. n CIS Il Center for Internet Security (CIS) è un’organizzazione indipendente che elenca controlli tecnici di sicurezza e operativi che si concentrano sulla riduzione del rischio e sull’aumento della resilienza delle infrastrutture tecniche COBIT Il COBIT (Control Objectives for Information and Related Technology) è un modello sviluppato a metà degli anni ‘90 dall’organizzazione indipendente ISACA per assicurare le certificazioni Certified Information Systems Auditor e Certified Information Security Manager. COSO Framework relativo ai controlli interni di un’organizzazione e alla gestione del rischio. Si basa sul documento “Managing Cyber Risk in a Digital Age” che indica linee guida su come reagire alle minacce informatiche aziendali. GDPR Il Regolamento generale sulla protezione dei dati (GDPR, dall’inglese General Data Protection Regulation) è un regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali. HITRUST L’HITRUST è un framework per l’analisi e la gestione del rischio con 14 diverse categorie di controllo e può essere applicato a quasi tutte le organizzazioni, comprese quelle sanitarie. ISA 99 / IEC 62443 La norma IEC 62443 è lo standard internazionale per la sicurezza dei sistemi di controllo dell’automazione industriale e per Industria 4.0. Questo standard è stato creato circa 20 anni fa dal Comitato SP99, istituito dall’ISA (International Society Automation & Control). Successivamente è stato rivisto e adottato dall’IEC (Commissione Elettrotecnica Internazionale). ISO 27000 La serie ISO 27000 fornisce un quadro di riferimento flessibile per la sicurezza delle informazioni. Può essere applicata a organizzazioni di ogni tipo e dimensione. I due standard principali, ISO 27001 e 27002, stabiliscono i requisiti e le procedure per la creazione di un sistema di gestione della sicurezza delle informazioni. NIST CSF Il NIST Framework for Improving Critical Infrastructure Cybersecurity, o NIST CSF è sviluppato per affrontare le infrastrutture critiche degli Stati Uniti, tra cui la produzione di energia, le forniture idriche, le forniture alimentari, le comunicazioni, la fornitura di assistenza sanitaria e i trasporti. NIST SP 1800 La serie NIST SP 1800 offre informazioni su come implementare e applicare le tecnologie di cybersecurity basate su standard in applicazioni reali. NIST SP 800-171 Il NIST SP 800-171 è un framework di sicurezza informatica che si rivolge in particolare agli appaltatori governativi, frequenti obiettivi di attacchi informatici a causa della loro vicinanza ai sistemi informativi federali. NIST SP 800-53 Pubblicata per la prima volta nel 1990, la serie NIST SP 800 affronta ogni aspetto della sicurezza delle informazioni, con una crescente attenzione alla sicurezza del cloud. NIST SP 800-53 è il punto di riferimento per la sicurezza delle informazioni per le agenzie governative statunitensi e per lo sviluppo del framework NIST CSF (CyberSecurity Framework). Tabella 2 - Principali standard, regolamenti e framework per la cybersecurity industriale